7pay 不正利用か。パスワードの使い回しは危険です。

7月1日から始まった、7payサービス。
今日、7payの不正利用(クレジットカードからのチャージ、利用など)が報告され、セブンイレブンジャパンからもお詫びと注意がされています。

7Payは、セブンイレブンアプリを利用してアプリに登録したクレジットカードなどからチャージして利用出来るサービスです。
登録方法としては、セブンイレブンアプリに7iD会員のID・パスワードでログインし、7Payを利用可能に設定します。
クレジットカードの登録時に認証パスワードを設定して、チャージ時に認証パスワードを入力することによりチャージを行うことができます。

今回の不正利用は、今までの様々な不正アクセスで用いられている、リスト攻撃が行われたと思われます。
アプリログイン時のID・パスワードを覚えやすいように、他のサービスで使っていたものを入力し、認証パスワードもチャージの都度入力するため、ログインパスワードと同じ、または覚えやすい簡単なものにしてしまうかもしれません。
どこかで不正に入手したID・パスワードのリストを悪用する者が入手し、リスト順に手当たり次第にログインを試みます。
ログインが成功したら、認証パスワードも入力を試みて、ログインパスワードを同じ、または簡単な(容易に推測できる)パスワードにしていたら、認証に成功してチャージと利用ができてしまいます。

セブンイレブンアプリは、他のスマートフォンからログインすると今まで使用していたスマートフォン側はログアウトして、再びログインする必要があります。
不正利用者は、ログインが成功したら、パスワードを変更して、正規の利用者がログインできないようにして犯行を行うことも出来ます。

他の原因もあるかもしれませんが、今できる対処法は、ID・パスワードを変更(他のサービスで利用しているものの使い回しはしない。)と、認証パスワードはログインパスワードを同じとしない、または簡単に推測できるものは使用しない、ことを行ってください。

とにかく、ID・パスワードの使い回しは危険ですので、行わないようにしてください。

7payに関する重要なお知らせ : 株式会社セブン&アイ・ホールディングス